marsei85
Anmeldungsdatum: 3. November 2015
Beiträge: 133
|
Hallo, wenn ich auf 2 18.04 Server mit SSH über Internet zugreifen will kommt meistens ein Timeout nach ca. 20 sek. Nur ca. jeder 20. Versuch ist erfolgreich. Zugriff über LAN ohne Probleme. Internet ist eine Vodafone Business Leitung (Glasfaser). Firewall ist eine Opnsense, SSH Port habe ich neben dem Standardport auch andere ausprobiert. Wenn ich die NAT Regel auf einen anderen Ubuntu Server umstelle, geht es sofort. Auch andere Firewall regeln funktionieren ohne Probleme. Habt ihr ne Idee?
Moderiert von kB: Aus dem Forum „Netzwerk und Internetzugang einrichten“ in einen besser passenden Forenbereich verschoben. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) im jeweiligen Forum! Danke.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17654
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Dann schaue, wo es hängt, indem du am Server und Client mitschneidest. Kommen alle abgeschickten Pakete da an?
Was sagt das Firewall-Log bezüglich deny?
|
marsei85
(Themenstarter)
Anmeldungsdatum: 3. November 2015
Beiträge: 133
|
Die Opnsense erkennt die Anfrage und lässt sie durch. Im Ubuntu kommt die Anfrage nicht an:
| sudo dmesg | grep '\[UFW'
|
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17654
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Hast du das mit Wireshark verifiziert?
Sind weitere Paketfilter im Netz aktiv?
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8616
Wohnort: Münster
|
marsei85 schrieb: […] Firewall ist eine Opnsense […] die NAT Regel
Wie und auf welchem Gerät machst Du NAT? Vor, auf oder hinter der Firewall?
|
marsei85
(Themenstarter)
Anmeldungsdatum: 3. November 2015
Beiträge: 133
|
DJKUhpisse schrieb: Hast du das mit Wireshark verifiziert?
Sind weitere Paketfilter im Netz aktiv?
Da der tshark output nicht lesbar war, hab ich mit tcpdump folgende Einträge gefunden (ca. 10 stück in der Art in 20 Sekunden) ID: 107
Source: 217.xx.xx.246
Destination 10.0.0.100
Capture Length: 78
Packet Length: 78
Protocol: TCP
Date Recievd: 2022-23-11 16:45:38.712
Time Delta: 12.884
Information: 42616 -> SSH ([SYN], Seq=600459177, Ack=0, Win=65535)
|
marsei85
(Themenstarter)
Anmeldungsdatum: 3. November 2015
Beiträge: 133
|
kB schrieb: marsei85 schrieb: […] Firewall ist eine Opnsense […] die NAT Regel
Wie und auf welchem Gerät machst Du NAT? Vor, auf oder hinter der Firewall?
Das NAT wird in der Firewall (Opnsense) gemacht, davor ist noch eine Fritzbox die die opnsense als exposed Host eingestellt hat.
|
marsei85
(Themenstarter)
Anmeldungsdatum: 3. November 2015
Beiträge: 133
|
Auf dem Server habe ich auch mal die ufw aktiviert: | ufw status
Status: Aktiv
Zu Aktion Von
-- ------ ---
22 ALLOW Anywhere
445 ALLOW Anywhere
139 ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
445 (v6) ALLOW Anywhere (v6)
139 (v6) ALLOW Anywhere (v6)
|
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
marsei85 schrieb: ..., hab ich mit tcpdump folgende Einträge gefunden (ca. 10 stück in der Art in 20 Sekunden)
Auf welchem Gerät hast Du mit welchem Filter, tcpdump benutzt?
|
marsei85
(Themenstarter)
Anmeldungsdatum: 3. November 2015
Beiträge: 133
|
lubux schrieb: marsei85 schrieb: ..., hab ich mit tcpdump folgende Einträge gefunden (ca. 10 stück in der Art in 20 Sekunden)
Auf welchem Gerät hast Du mit welchem Filter, tcpdump benutzt?
Auf dem Server, der nicht per SSH erreicht werden kann. Ich habe keine Filter eingestellt. Die SSH Einträge habe ich nachher manuell rausgesucht.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
marsei85 schrieb: Auf dem Server, der nicht per SSH erreicht werden kann. Ich habe keine Filter eingestellt. Die SSH Einträge habe ich nachher manuell rausgesucht.
Dann starte mal vor dem Zugriff aus dem Internet:
Auf Opnsense:
sudo tcpdump -c 30 -vvveni any dst port 22
und auf dem Server mit Ubuntu:
sudo tcpdump -c 30 -vvveni any dst port 22
(wenn der sshd auf einem anderen Port als 22 lauscht, dann anpassen). Wie ist nach dem Zugriff die Ausgabe von tcpdump?
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8616
Wohnort: Münster
|
marsei85 schrieb: […] Das NAT wird in der Firewall (Opnsense) gemacht, davor ist noch eine Fritzbox die die opnsense als exposed Host eingestellt hat.
Und der Server hängt an der internen Seite der Opensense-Firewall? Und mit NAT meinst Du NAT/PT?
|
marsei85
(Themenstarter)
Anmeldungsdatum: 3. November 2015
Beiträge: 133
|
lubux schrieb: marsei85 schrieb: Auf dem Server, der nicht per SSH erreicht werden kann. Ich habe keine Filter eingestellt. Die SSH Einträge habe ich nachher manuell rausgesucht.
Dann starte mal vor dem Zugriff aus dem Internet:
Auf Opnsense:
sudo tcpdump -c 30 -vvveni any dst port 22
und auf dem Server mit Ubuntu:
sudo tcpdump -c 30 -vvveni any dst port 22
(wenn der sshd auf einem anderen Port als 22 lauscht, dann anpassen). Wie ist nach dem Zugriff die Ausgabe von tcpdump?
Auf der Opnsense kommt da:
| tcpdump: any: No such device exists
(BIOCSETIF failed: Device not configured)
|
Der Live view in der Opnsense zeigt dort die Verbindung (grün hinterlegt):
| LAN_Internal1
2022-11-24T09:31:13
217.xx.xx.246:21040
10.0.0.100:22
tcp
let out anything from firewall host itself
|
auf dem Server liefert der Befehl:
| 217.xx.xx.246.30182 > 10.0.0.100.22: Flags [S], cksum 0x939c (correct), seq 1875802888, win 65535, options [mss 1380,nop,wscale 6,nop,nop,TS val 891870695 ecr 0,sackOK,eol], length 0
|
|
marsei85
(Themenstarter)
Anmeldungsdatum: 3. November 2015
Beiträge: 133
|
kB schrieb: marsei85 schrieb: […] Das NAT wird in der Firewall (Opnsense) gemacht, davor ist noch eine Fritzbox die die opnsense als exposed Host eingestellt hat.
Und der Server hängt an der internen Seite der Opensense-Firewall? Und mit NAT meinst Du NAT/PT?
Ja der Server hängt an der Internen Seite. Die Öffentliche IP ist IPv4, also es findet kein NAT/PT statt.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
marsei85 schrieb: Auf der Opnsense kommt da:
| tcpdump: any: No such device exists
(BIOCSETIF failed: Device not configured)
|
Naja, wenn der tcpdump im Opnsense das any nicht kennt, musst Du das richtige/zuständige Interface eruieren und im Filter benutzen. Siehe:
ifconfig
(oder gleichwertig). Wie ist in deinem ssh-Client und in deinem sshd-Server, z. Zt. das IPQoS konfiguriert/eingestellt oder wenn nicht, dann wie ist der default Wert dafür? Es muss ja einen Grund geben, warum der sshd-Server auf die Anfrage/Verbindungsherstellung mit dem syn-Flag, nicht antwortet bzw. das ignoriert.
|